Problema: Error detectado de CSRF con inicio de sesión OAuth2 usando el plugin oauth2-basic

Ly_Chen · 18 Octubre, 2024 10:05

Hola,

Encontré un error de “csrf_detected” al usar el plugin oauth2-basic para iniciar sesión a través de OAuth2. A continuación, se detalla el flujo del problema:

Hago clic en “Iniciar sesión”, lo que me redirige a:
https://myforum/auth/basic_oauth2
Luego, realiza una redirección 302 a:
https://myforum/auth/failure?message=csrf_detected

Pasos de Reproducción:

Al intentar iniciar sesión, el siguiente comando curl simula la solicitud:

curl -vvvv 'https://myforum/auth/oauth2_basic' \
  -H 'accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7' \
  -H 'accept-language: zh-CN,zh;q=0.9' \
  -H 'cache-control: max-age=0' \
  -H 'content-type: application/x-www-form-urlencoded' \
  -H 'cookie: _forum_session=k9aHXc2cWsx%2FMBL26KTV33PSo8jC9Am47UBoT5Zq9qYAm2nKoU2BJkAR1bgc6U%2BYqsL3%2F3sjiYRmJoNr3JuvzkjdYl%2FjzT9djkq%2BYjSmN16EUEdZIdOl%2Fiv1MohQkthKSnOpUdXLTxHZBezxTg4O%2Bs6LUZ7HzCjpT3lxm24FS4xOPkU5QnSHBM%2F7GazZRhGywXsHKGdJ6fY0kVo%2BJHNNHBZu--qQKGn36Xh7jvKPEs--I1b3oz4nv2xe%2Fmi0bKPLog%3D%3D' \
  -H 'origin: https://myforum' \
  -H 'user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36' \
  --data-raw 'authenticity_token=doSNHEhj23HibAEZf0znqzevPNPq9Bub69Xnq18mKARw8GiGP-cokbg7k0qUvRgH3kayeJK7_-boeoOvX6GKqQ'

El resultado es una redirección 302 a la página de error con el mensaje “csrf_detected”:

< HTTP/2 302
< location: /auth/failure?message=csrf_detected

Hallazgos:

Si omito el parámetro authenticity_token, el flujo de inicio de sesión funciona correctamente y me redirige a la página de inicio de sesión de OAuth2 como se esperaba:

Pregunta:

Parece que cuando la solicitud GET a /auth/oauth2_basic incluye un authenticity_token, el sistema lo verifica y genera el error CSRF si el token es inválido. Pero estoy confundido: dado que aún no he iniciado sesión, ¿cómo tendría un authenticity_token en esta etapa?

¿Es este un comportamiento esperado o hay un problema con la forma en que se maneja el token CSRF en el proceso de inicio de sesión inicial?

¡Cualquier ayuda o guía sería apreciada!

Gracias!

supermathie · 18 Octubre, 2024 20:51

Con frecuencia vemos este error cuando hay una discrepancia entre lo que está usando el navegador y lo que espera el backend.

¿Puedes intentar activar force_https y ver si eso soluciona el problema?

Si no, ¿cuál es la ruta de tu solicitud?

Tema		Respuestas	Vistas
OAuth2 Authentication Failure: CSRF Detected Error SSO oauth2	0	90	29 Abril 2025
OAuth account creation fails due to CSRF detection immediately after logging into Auth0 on same browser SSO oauth2	8	2594	16 Febrero 2023
Help with OAuth2 Basic plugin Support	2	348	9 Septiembre 2022
(google_oauth2) Authentication failure! csrf_detected: OmniAuth::Strategies::OAuth2::CallbackError, csrf_detected \| CSRF detected Support	2	119	18 Febrero 2025
Making SSO via OAuth2 Basic plugin work with our Identity Provider SSO oauth2	2	4355	19 Octubre 2020

Problema: Error detectado de CSRF con inicio de sesión OAuth2 usando el plugin oauth2-basic

Pasos de Reproducción:

Hallazgos:

Pregunta:

Temas relacionados